【解析】Netアンサー登録情報更新のお願い|詐欺メール調査報告書
【調査報告】最新の詐欺メール解析レポート [spam] 【重要】Netアンサー登録情報更新のお願いNo.56246123 本レポートでは、実在する金融機関を装ったフィッシング攻撃の技術的解析結果を公開します。 | ■ 最近のスパム動向 今回ご紹介するのは「株式会社クレディセゾン」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年現在、フィッシング詐欺は単純なバラマキ型から、実在するサービスのデザインを完全に模倣し、かつ「セキュリティ更新」というユーザーの心理的隙を突く高度なものへと進化しています。特に大手カード会社を装う手法は、正規ドメインを一部に含む偽装ドメインを短期間で取得・破棄するサイクルを繰り返しており、従来のブラックリスト方式を回避しようとする傾向が強く見られます。 | ■ メール解析データ | 件名 | [spam] 【重要】Netアンサー登録情報更新のお願いNo.56246123 | | 件名の見出し | 冒頭の[spam]はサーバーのスパムフィルタが検知した証拠であり、送信元が不審であることを示唆しています。 | | 送信者 | “株式会社クレディセゾン” <office@saison.co.jp> | | 送信者の真偽 | 偽装。saison.co.jpを名乗っていますが、内部ヘッダーは全く異なるサーバーを通過しています。 | | 受信日時 | 2026年4月12日 17:29 | | ■ メール本文の再現 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 | 2026年4月12日 【重要】Netアンサーの登録情報の有効期限と再登録のお願い ■■ 様 平素は「Netアンサー」をご利用いただき、誠にありがとうございます。 お客様が現在ご登録されているアカウント情報につきまして、セキュリティ維持のための更新期限が経過したため、現在ログイン情報が一時的に失効した状態となっております。 | このままの状態では、オンラインでのご利用明細の確認や各種お手続きのサービスをご利用いただけません。お手数ですが、下記よりNetアンサーへログインし、情報の再登録(更新)手続きをお願い申し上げます。 | ■ お手続きの内容 1. アカウントの本人確認
ご登録のメールアドレスとお名前の照合を行います。 | 2. 最新情報への更新
現在の住所、連絡先などの登録内容をご確認・更新いただきます。 | ※ 本メールは、登録情報が未更新のお客様へ順次配信しております。既に手続きをお済ませの場合は、何卒ご容赦ください。
※ セキュリティの観点から、お早めのお手続きをお願いいたします。
株式会社 クレディセゾン
東京都豊島区東池袋3-1-1 サンシャイン60
(C) CREDIT SAISON CO., LTD. | | ■ 専門的な解析と考察 【犯人の目的】
ユーザーを偽のログイン画面に誘導し、NetアンサーのID・パスワード、およびクレジットカード番号、セキュリティコード等の決済情報を窃取することです。 【メールのデザインと欠陥】
ロゴこそありませんが、青を基調としたNetアンサーの配色を模倣しています。しかし、宛名が「■■様」と伏せ字(または空白)である点は致命的な不自然さです。正規の通知であれば、登録された氏名が明記されます。 【署名の検証】
本メールには電話番号の記載がありません。通常、こうした重要通知には問い合わせ先のナビダイヤル等が記載されますが、犯人は「返信」や「電話」による発覚を恐れ、リンクへの誘導のみに特化させています。 | ■ 送信元(Received)情報詳細 以下の情報は、メール送信時に経由したサーバーが記録した「偽装不能」な証拠データです。 | Received | from zh-play-mk.com (zh-play-mk.com [34.130.24.77]) | | 解析ドメイン | zh-play-mk.com(送信元偽装に使用) | | 送信元IPアドレス | 34.130.24.77 | | ホスティング社名 | Google Cloud (bc.googleusercontent.comが含まれる) | | 国名 | United States (アメリカ合衆国) | | ドメイン登録日 | 2026-03-15(犯行の直前に取得された使い捨てドメインと推測されます) | | 回線関連情報 | https://ip-sc.net/ja/r/34.130.24.77 (詳細データ) | | ■ リンク先(詐欺サイト)の解析結果 | リンクが貼られた箇所 | 「Netアンサー ログイン・再登録」のボタン部分 | | リンク先URL | https://login.app-so***.com/?Mr4cAihr…(※伏せ字含む) | | リンクドメイン | login.app-souhu.com | | IPアドレス | 172.67.141.22 | | ホスティング社名 | Cloudflare, Inc. | | 国名 | United States | | ドメイン登録日 | 2026-04-10(メール送信のわずか2日前に登録。攻撃専用の短期ドメインです) | | サイト回線関連情報 | https://ip-sc.net/ja/r/172.67.141.22 (詳細データ) | | ■ URLの危険性と稼働状況 このURLが危険と判断できる最大のポイントは、ドメイン名がセゾンカード(saisoncard.co.jp)と一切無関係な「app-souhu.com」であることです。Google Safe Browsing等のフィルタリングにより、現在は以下の通りブロックされています。 【詐欺サイトの現在の状態】 
このように、既にドメインが凍結されたか、DNSレベルで遮断されているため、現在は稼働していませんが、同様の別ドメインへ攻撃が移行している可能性が非常に高いです。
| ■ まとめと対策 本事例は、過去の「Netアンサー」を騙るフィッシングメールと比較しても、文面が非常に標準的かつ自然な日本語で構成されており、直近で取得されたドメインを多用しているのが特徴です。身に覚えのない「失効通知」が届いた際は、メール内のリンクは絶対に触れず、公式アプリまたは検索サイトから直接アクセスすることを徹底してください。
本レポートは、サイバー犯罪の被害拡大防止を目的に公開されています。リンク先の検証には専用のサンドボックス環境を使用しています。 | |
🛡️ Heartland 管理者が推奨する「究極の対策セット」
① 【最強の物理防壁】YubiKey 5 NFC 🔑
パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。
Amazonで詳細を見る
② 【定番の安心】ウイルスバスター クラウド 3年版 🛡️
巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。
Amazonで詳細を見る